O Decreto-Lei n.º 125/2025, de 4 de dezembro, que aprova o novo Regime Jurídico da Cibersegurança em Portugal (transpondo a Diretiva NIS 2), é o diploma que define também a qualificação das entidades. Saiba se a sua empresa está abrangida.

O novo regime assenta na classificação das entidades em três grandes categorias, baseada na sua relevância para a segurança nacional e para o funcionamento da sociedade e da economia:

  • 1) Entidades Essenciais
  • 2) Entidades Importantes
  • 3) Entidades Públicas Relevantes

A Diretiva NIS 2 identifica 18 setores considerados críticos, divididos em setores essenciais e setores importantes.

Entidades Essenciais e Importantes

Esta é a distinção principal e a que determina o nível de supervisão e as coimas aplicáveis. A qualificação baseia-se nos setores de atividade (constantes dos Anexos I e II do Decreto-Lei) e no critério de dimensão (limiares para média empresa, nos termos da Recomendação 2003/361/CE).

1) Entidades Essenciais

São consideradas críticas para o funcionamento da sociedade e da economia. Digamos que são a “espinha dorsal” do país. Pertencem a setores altamente críticos e em regra geral são médias ou grandes entidades. Têm elevado impacto sistémico em caso de incidente.

Setores Abrangidos (Exemplos):

  • Energia (eletricidade, gás, petróleo, aquecimento/refrigeração).
  • Transportes (aéreo, ferroviário, marítimo, rodoviário).
  • Saúde (prestadores de cuidados de saúde, laboratórios de referência).
  • Água (abastecimento e distribuição).
  • Infraestruturas do mercado financeiro e bancos.
  • Administração Pública Central.
  • Entidades de redes de comunicações eletrónicas (em alguns casos).
  • Prestadores de serviços de confiança qualificados.

Implicações: Estão sujeitas a um regime de supervisão mais rigoroso, incluindo inspeções proativas –  supervisão mais rigorosa (ex ante).

As coimas por incumprimento podem ir até € 10.000.000 ou 2% do volume de negócios global anual.

Nota: entidades pequenas também podem ser classificadas como Essenciais se prestarem um serviço crítico ou único (ex.: operador DNS nacional).

2) Entidades Importantes

São relevantes, mas com impacto menos sistémico do que as essenciais. Impacto significativo, mas não vital para o país.

Setores Abrangidos (Exemplos):

  • Serviços postais e de estafeta.
  • Gestão de resíduos.
  • Produção, transformação e distribuição de alimentos.
  • Fabrico de determinados produtos (e.g., equipamentos médicos, químicos).
  • Fornecedores de serviços digitais (motores de busca, serviços de computação em nuvem).
  • Algumas entidades de investigação.

Implicações: Estão sujeitas a um regime de supervisão menos rigoroso (supervisão reativa), mas têm obrigações de gestão de risco e notificação de incidentes.

As coimas por incumprimento podem ir até € 7.000.000 ou 1,4% do volume de negócios global anual.

3) Entidades Públicas Relevantes

São entidades públicas que não se enquadram nas categorias acima, mas que são relevantes para o regime de cibersegurança.

Qualificação São divididas em

  • Grupo A (maior dimensão, com mais de 250 trabalhadores ou acima dos limiares de PME)
  • Grupo B (média dimensão, entre 50 e 249 trabalhadores ou médias empresas).

Procedimento de Qualificação (Artigo 8.º)

Registo: As entidades com potencial enquadramento nas categorias Essenciais ou Importantes têm a obrigação de se registar numa plataforma eletrónica a ser disponibilizada pelo Centro Nacional de Cibersegurança (CNCS).

Qualificação pelo CNCS: Cabe ao CNCS, enquanto Autoridade Nacional de Cibersegurança, efetuar a qualificação final, que será fundamentada e precedida de audiência prévia da entidade em causa.

Uma entidade é qualificada como Entidade Essencial ou Entidade Importante com base em quatro critérios cumulativos/alternativos:

  • Setor de Atividade (um dos 18 setores críticos definidos nos Anexos I e II)
  • Dimensão da Entidade (A NIS 2 aplica-se, em regra, a médias e grandes empresas, de acordo com os critérios da União Europeia)
    • Média empresa:
      • 50 a 249 trabalhadores
      • Volume de negócios anual ≤ 50 milhões €
    • Grande empresa:
      • 250 ou mais trabalhadores
      • Volume de negócios anual > 50 milhões €
  • Importância do Serviço Prestado
    • Independentemente da dimensão, algumas entidades podem ser abrangidas se:
      • Prestarem serviços críticos para a sociedade ou economia
      • Um incidente tiver impacto significativo
        • Na segurança pública
        • Na saúde
        • Na economia
        • No funcionamento do Estado

Quando uma entidade se enquadra em mais do que um grupo de classificação para efeitos do Regime Jurídico da Cibersegurança, a lei determina que prevalece sempre a classificação que impõe os requisitos de segurança mais rigorosos.

A ordem hierárquica de aplicação e exigência é a seguinte:

  • Entidade Essencial (Mais exigente)
  • Entidade Importante
  • Entidade Pública Relevante – Grupo A
  • Entidade Pública Relevante – Grupo B (Menos exigente)

Para saber se a sua empresa está abrangida:

  • Identifique o seu setor: O seu setor de atividade está listado como “Essencial” ou “Importante”?
  • Verifique a dimensão: A sua empresa é considerada média ou grande (mais de 50 trabalhadores ou mais de 10 milhões de euros)?